【安全防护】恶意进程要怎么结束? - 网络安全 - 红黑 - 龙8国际娱乐pt老虎机
频道栏目
首页 > 安全 > 网络安全 > 正文

龙8国际娱乐pt老虎机

2018-06-25 16:08:06      个评论    来源:黑猫'blog  
收藏   我要投稿

【安全防护】恶意进程要怎么结束?今天朋友说他的站被菠菜公司做了跳转,当他改回去后又被别人改回来了,被气的要死,于是便让我帮忙看看。反正我也不忙,于是远程登陆他的服务器看了一下。首先看了一下日志,妈的,都被清理了,而且貌似还恢复不了。查看了一下用户,发现多了一个用户,很明显这个黑客提权成功了,但是却是直接创建用户,并不是克隆用户或者其他操作。先把用户删了吧,然后继续找,在一个后台图片上传点看到一个php文件,下载下来看了一下,是个一句话木马,顺手把它删了。然后看看还有什么奇怪的东西。习惯性的看了下C盘。没想到竟然就有收获了

这里写图片描述

很明显多了一个奇怪的文件夹,点开一看

这里写图片描述

很明显,对方用了MS16-075提权成功的。那就把他删了吧

这里写图片描述

妈耶,难道对方还在连接?

根据经验,meterpreter一般生成的连接马都喜欢直接用端口连接,方便记忆。

Netstat -aon |findstr “3306”

这里写图片描述

这个非常可疑;输入命令

Tasklist | findstr 2204

这里写图片描述

果然就是这个家伙还在连接,先把对方IP记下,等回去再看看能不能挖出其他有价值的线索。

先把问题解决,结束进程

~

这里写图片描述

成功删除

这里写图片描述

总结:我对朋友的网站做了整体测试,初步断定弱口令,因为密码跟后台地址一样,虽然后台地址设置的很复杂,但是依然用工具跑出来了,所以建议更新CMS,或者/tags.php等改名,没必要的话就删了。然后服务器补丁不够,虽然安装了安全狗,但是一些目录还是得写死,最后后台上传点最好设置白名单验证。

上一篇:新兴的5G技术将基于SIM卡的IoT设备置于更大的威胁之中
下一篇:虽然黑客删除了数据,但A站数据泄露是否该被追责
相关文章
图文推荐
热门新闻

关于我们 | 联系我们 | 服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑--致力于做实用的IT技术学习网站